Un estudio reciente identifica problemas con las pautas actuales de seguridad informática, lo que sugiere que a menudo resultan confusas y abrumadoras para los empleados. Los investigadores recomiendan un enfoque más organizado, enfatizando mensajes clave y priorizando información vital para mejorar la comprensión y la implementación de la seguridad informática.
Si alguna vez se ha sentido perplejo por las instrucciones de seguridad informática proporcionadas en su lugar de trabajo, no está solo. Un estudio reciente destaca una cuestión clave en el desarrollo de estas directrices y sugiere pasos simples para mejorarlas, lo que probablemente conduzca a una mejor seguridad de TI.
La preocupación gira en torno a los protocolos de seguridad informática que las instituciones, incluidas empresas y organismos gubernamentales, proporcionan a sus empleados. Estos protocolos tienen como objetivo guiar a los empleados en la protección de datos personales y organizacionales contra peligros como malware y ataques de phishing.
«Como investigador de seguridad informática, me he dado cuenta de que algunos de los consejos de seguridad informática que leo en línea son confusos, engañosos o simplemente incorrectos», dice Brad Reaves, autor correspondiente del nuevo estudio y profesor asistente de ciencias informáticas en State Universidad de Carolina del Norte. “En algunos casos, no sé de dónde viene el consejo ni en qué se basa. Ese fue el impulso para esta investigación. ¿Quién redacta estas directrices? ¿En qué basan sus consejos? ¿Cuál es su proceso? ¿Hay alguna manera de que podamos hacerlo mejor?
Para el estudio, los investigadores realizaron 21 entrevistas en profundidad con profesionales responsables de redactar directrices de seguridad informática para organizaciones, incluidas grandes corporaciones, universidades y agencias gubernamentales.
«La conclusión principal aquí es que las personas que escriben estas directrices intentan proporcionar la mayor cantidad de información posible», dice Reaves. “Eso es genial, en teoría. Pero los escritores no dan prioridad a los consejos más importantes. O, más específicamente, no devalúan puntos que son significativamente menos importantes. Y debido a que hay tantos consejos de seguridad que incluir, las pautas pueden ser abrumadoras y los puntos más importantes se pierden en la confusión”.
Los investigadores han descubierto que una de las razones por las que las pautas de seguridad pueden ser tan abrumadoras es que quienes las redactan tienden a incorporar todos los elementos posibles de una amplia variedad de fuentes confiables.
«En otras palabras, quienes redactan las directrices están recopilando información de seguridad en lugar de seleccionarla para sus lectores», dice Reaves.
Basándose en lo que aprendieron de las entrevistas, los investigadores desarrollaron dos recomendaciones para mejorar las pautas de seguridad futuras.
En primer lugar, los redactores de directrices necesitan un conjunto claro de mejores prácticas sobre cómo seleccionar información para que las directrices de seguridad indiquen a los usuarios lo que necesitan saber y cómo priorizar esa información.
En segundo lugar, los escritores –y la comunidad de seguridad informática en su conjunto– necesitan mensajes clave que tengan sentido para audiencias con distintos niveles de competencia técnica.
«Mire, la seguridad informática es complicada», dice Reaves. “Pero la medicina es aún más complicada. Sin embargo, durante la pandemia, los expertos en salud pública han podido brindar al público una orientación bastante simple y concisa sobre cómo reducir el riesgo de contraer COVID. Necesitamos poder hacer lo mismo con la seguridad informática”.
En última instancia, los investigadores descubrieron que los redactores de consejos de seguridad necesitan ayuda.
«Necesitamos investigaciones, directrices y comunidades de práctica que puedan apoyar a estos escritores, porque desempeñan un papel fundamental a la hora de convertir los hallazgos de seguridad informática en consejos prácticos para su aplicación en el mundo real», afirma Reaves.
“También quiero enfatizar que cuando hay un incidente de seguridad informática, no debemos culpar a un empleado por no cumplir con una de las mil reglas de seguridad que esperábamos que siguiera. Necesitamos hacer un mejor trabajo a la hora de crear directrices que sean fáciles de entender e implementar”.
Referencia: “¿Quién inventa estas cosas? Entrevistar a los autores para comprender cómo producen consejos de seguridad” por Lorenzo Neil, Harshini Sri Ramulu, Yasemin Acar y Bradley Reaves, 6 de agosto de 2023, Simposio USENIX sobre privacidad y seguridad utilizables.